Mục lục bài viết || Contents of the article

    Các nhà nghiên cứu an ninh mạng tại Guardicore Labs hôm nay đã công bố một báo cáo chi tiết về chiến dịch tấn công mã hóa các máy chủ Windows MS-SQL và PHPMyAdmin trên toàn thế giới.

    Chiến dịch này được gọi với cái tên Nansh0u, cuộc tấn công bằng mã độc này được cho là do nhóm hacker APT-style đến từ Trung Quốc thực hiện. 50000 máy chủ đã lây nhiễm và bị cài đặt vào nhân Kernel một loại mã độc rootkit

    Chiến dịch bắt đầu vào 26 tháng 2. Nhưng đến tháng 4 mới phát hiện bản đầu tiên. Cùng với đó là khoảng 20 phiên bản khác nhau của mã độc này được lưu trữ trên các máy chủ cung cấp dịch vụ lưu trữ

    Tấn công Brute-forcing này có thể truy cập công khai vào các máy chủ MS-SQL, PHPMyAdmin bằng 1 trình quét cổng đơn giản.

    Hàng loạt máy tính Mac đang dính lỗ hổng bảo mật nghiêm trọng

    Sau khi chiếm quyền quản trị, attacker sẽ thực thi một chuỗi các câu lệnh MS-SQL trên hệ thống và tải về mã độc từ máy chủ lưu trữ từ xa và chhayj nó với các đặc quyền cao nhất của hệ thống.

    Sau khi thâm nhập hệ thống, tận dụng lỗ hổng leo thang đặc quyền CVE-2014-4113 để có được các đặc quyền cao nhất của hệ thống.

    “Sử dụng đặc quyền Windows này sẽ cái đặt mã độc vào quy trình Winlogon. Mã độc sẽ tạo thành 1 quy trình mới kế thừa các đặc quyền của hệ thống Winlogon, cung cấp các đặc quyền tương đương”

    Cổng PAYLOAD sau đó cài đặt một mã độc khai thác tiền điện tử trên các máy chủ bị xâm nhập để khai thác tiền điện tử TurtleCoin

    Bên cạnh đó, mã độc cũng tự bảo vệ quá trình của nó khỏi bị chấm dứt bằng cách sử dụng rootkit chế độ nhân được kí điện tử để duy trì

    “chúng tôi tìm thấy trong trình điều khiển có chứng chỉ được cấp bởi công ty công nghệ Hàng Châu Hootian”

    Các nhà nghiên cứu cũng đã cung cấp 1 dánh sách đầy đủ các tập lệnh dựa trên PowerShell miễn phí mà nhờ vào đó các quản trị viên có thể sử dụng để kiểm tra xem hệ thống của mình có bị nhiễm mã độc này ko.

    Vì cuộc tấn công lợi dụng cơ chế mật khẩu yếu của MS-SQL và PHPMyAdmin nên các quản trị viên được khuyến cáo nâng cao độ mạnh và sự phức tạp cho mật khẩu của họ.

    Hướng dẫn: Chuyển các lỗ hổng được quét từ Burp Suite sang Splunk events

    Nguồn: THN

    Bài viết liên quan || Related posts

    Bài viết đề xuất || Recommended
    Vì sao website Việt Nam dễ bị tin tặc xâm nhập? Vì sao website Việt Nam dễ bị tin tặc xâm nhập?
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa Kinh doanh online: cần đẩy mạnh bảo mật website hơn nữa
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp Dịch vụ bảo mật website toàn diện cho mọi doanh nghiệp
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...
    Tính năng sản phẩm | 23/03/2021

    Địa chỉ: || Address: Tầng 9, số 459 Đội Cấn, Ba Đình, Hà Nội || Floor 9, No. 459 Doi Can, Ba Dinh, Hanoi

    Điện thoại: || Phone number: 092 711 8899

    Email: info@securitybox.vn

    Thông tin tuyển dụng || Recruitment

    Điều khoản sử dụng || Terms of Use